SlideShare ist ein Scribd-Unternehmen logo

Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade]

S
SUNLIT Technologies

Apresentação solução ACUNETIX - Scanner de Vulnerabilidades em Aplicações Web

Technologie
1 von 28
Downloaden Sie, um offline zu lesen
ACUNETIX Scanner para Identificar Vulnerabilidades em Aplicações WEB Março 2012 SUNLIT TECHNOLOGIES Representante Acunetix no Brasil Combating the web vulnerability threat www.acunetix.com
GARTNER GROUP aponta a solução ACUNETIX como um dos líderes em ANÁLISE DE VULNERABILIDADE DE APLICAÇÕES Confira a posição de destaque ocupada pela solução ACUNETIX no QUADRANTE MÁGICO do GARTNER GROUP (dezembro de 2011) em referencia ao tema DAST (Dynamic Application Security Testing) ou Análise de Vulnerabilidades em Aplicações. Combating the web vulnerability threat www.acunetix.com
Por que sua empresa pode se tornar alvo de hackers ? Porque voce disponibiliza seu website 7x24 para atender seus clientes e…os hackers sabem disso ! Além disso….os hackers gostam bastante de se divertir…e aproveitam o tempo livre para : . – Obter acesso a dados sensitivos (de sua empresa, de seus fornecedores e de …seus clientes…..) – Descaracterizar websites – Lhe ´presentear´ com mensagens PHISHING para obter seus dados bancários – ´Entupir´ seus links de acesso pela distribuição de conteúdo ilegal – Manipular de forma maliciosa seus aplicativos WEB Combating the web vulnerability threat www.acunetix.com
O que sua empresa perde sendo ´hackeada´ ? • Confidencialidade de informações relativas ao negócio • Perda de confiança e reputação perante seus clientes e fornecedores • Imagem da sua empresa é ´arranhada´ • Suas operações podem ficar ´fora-do-ar´ • Perda de faturamento e receitas • Implicações legais e multas Combating the web vulnerability threat www.acunetix.com
Porque escolher um scanner ambiente WEB ? • Voce pode manter aberta a Port 80 • Um firewall de aplicação WEB não é suficiente para barrar intrusos • Firewalls, IDS and IPS não tem proteção suficiente • Acesso direto a servidores corporativos • Aplicações feitas in-house não são auditadas Combating the web vulnerability threat www.acunetix.com
Como o Scanner-Acunetix funciona….. • Detecta SQL Injection e XSS – entre outras vulnerabilidades.. • Audita websites de forma manual e automatica • Estado da arte na tecnologia de rastreamento de vulnerabilidades – Utiliza Engine (CSA) Client Script Analyzer • Suporte a Web 2.0, JavaScript / Ajax, JQuery com engine CSA • Abordagem com métodos Heuristicos • Relatórios detalhados • Suporte a linha de comando Combating the web vulnerability threat www.acunetix.com
Diferenciais técnicos da solução ACUNETIX • Detecção de erro 404 • Manipula formulários CAPTCHA • Suporta single-sign-on e mecanismos de tokens • Suporta múltiplos SCANS a partir de mesma máquina (versão 8 – fev 2012) • Permite a manipulação de parametros da URL (versão 8 – fev 2012) • Identifica uma nova classe de vulnerabilidade: HTTP PARAMETER POLLUTION (versão 8 – fev 2012) • Permite acesso direto ao código das aplicações WEB através da tecnologia ACUSENSOR Combating the web vulnerability threat www.acunetix.com
O que é a funcionalidade ACUSENSOR ? • Vai além do escaneamento CAIXA-PRETA • Verifica a configuração da tecnologia WEB • Menor número de falso-positivos • Sem regras de regravação Url Combating the web vulnerability threat www.acunetix.com
A tecnologia AcuSensor gera informações avançadas para ´debug´ de vulnerabilidades Mostra qual a query QL vulnerável ao SQL Injection E indica exatamente a linha de Código onde a vulnerabilidade está Localizada. …. Combating the web vulnerability threat www.acunetix.com
Interface amigável Facilidade no acompanhamento de status das vulnerabilidades Combating the web vulnerability threat www.acunetix.com
Testes de penetração avançados em ambiente WEB • Testes de penetração avançados incluem : – HTTP Editor – HTTP Sniffer – HTTP Fuzzer – Blind SQL injector – Authentication Tester Combating the web vulnerability threat www.acunetix.com
Uma solução de segurança completa • Acunetix verifica : – Configuração do Web server – Configuração da tecnologia Web (.NET, PHP etc) – Port scanner & Network Alerts Combating the web vulnerability threat www.acunetix.com
Geração de Relatórios • Relatórios de compliance e auditoria - OWASP-Top 10 - PCI-DSS entre outros • Relatórios para o desenvolvedor • Relatórios comparativos • Exporta relatórios para PDF , HTML, etc Combating the web vulnerability threat www.acunetix.com
Apresentação Técnica • Como agem os hackers? • Configuração - Acunetix WVS • O que é um Scanner de ambiente Web ? – Application Settings • Acunetix WVS – Perfis para escaneamento – Scan Wizard – Resultados do Escaneamento – Relatórios do Escanemanto • Funcionalidades - Acunetix WVS – Target Finder – Site Crawler – Tecnologia AcuSensor – Port Scanner & Network Alerts – HTTP Editor – HTTP Fuzzer – HTTP Sniffer – Blind SQL Injector – Authentication Tester – Compare os resultados Combating the web vulnerability threat www.acunetix.com
Como agem os hackers ? • Hackers usam um plano sistemático de ação : 1. Estudam a infraestrutura operacional (sistema operacional e tipos de servidores) . 2. Pesquisam o website/ aplicação WEB 3. Identificam a presença de vulnerabilidades 4. Planejam e executam o ataque • Acunetix WVS atua de forma contínua na identificação de vulnerabilidades na aplicação WEB e/ou na tecnologia WEB (PHP, Apache,etc) e/ou um determinado servidor WEB e/ou ainda qualquer serviço de rede (DNS, FTP, etc) que roda no servidor WEB. Combating the web vulnerability threat www.acunetix.com
Como os hackers planejam seus ataques.... Combating the web vulnerability threat www.acunetix.com
Técnicas de hacking mais ativas • Métodos estáticos conhecidos: • Métodos dinamicos desconhecidos : – Explorar vulnerabilidades em – SQL Injection aplicações Web – Cross-site Scripting – Directory & Link Traversal – Enurmeração de diretórios – File Inclusion – Exposição de código-fonte – Explorar vulnerabilidades em – Execução de código servidores Web – Common File Checks – Manipulação de parametros – Explorar vulnerabilidades em – Criação ou deleção de arquivos de tecnologia Web (ex : PHP) forma arbitrária – CRLF Injection – Explorar vulnerabilidades em serviços – Path Truncation de rede (ex: DNS, FTP, SMTP) – Engenharia reversa de Java Applet – Session Hijacking – Ataques de autenticação – Google Hacking Database A solução Acunetix WVS identifica todos os métodos acima descritos e muito mais.... Combating the web vulnerability threat www.acunetix.com
O que é um Scanner de ambiente Web ? • Hacking são formas de ataques maliciosos contra aplicações-Web. Qualquer usuário visitando um website pode ser um hacker em potencial ... Por isso, uma abordagem de prevenção é a primeira linha de defesa. • Um Scanner de ambiente WEB é uma ferramenta automática de segurança que identifica vulnerabilidades em aplicações WEB ou tecnologias WEB ou servidores-WEB. Combating the web vulnerability threat www.acunetix.com
A que se propõem a solução WVS-ACUNETIX ? • Acunetix WVS é um Scanner-WEB que possibilita efetuar checagens automáticas e manuais na identificação de vulnerabilidades . • Acunetix WVS usa métodos dinamicos para replicar ataques de hackers utilizando maneiras não-destrutivas. Acunetix WVS é uma ferramenta essencial para identificar vulnerabilidades em suas aplicações Web e servidores-Web. Combating the web vulnerability threat www.acunetix.com
Acunetix WVS Acunetix WVS é um Scanner que utiliza metodologia heurística permitindo escaneamento & auditoria de forma automática e manual. Pela replicação de ataques hackers de forma não- não- destrutiva - Acunetix-WVS Acunetix- é uma ferramenta essencial para manter seu ambiente livres de hackers & pragas digitais. digitais. Combating the web vulnerability threat www.acunetix.com
Como o Acunetix-WVS efetua a busca por vulnerabilidades • Fase 1 - Processo de ´rastejamento´ para descobrir vulnerabilidades • Fase 2 - Escaneamento Automático • Fase 3 - (opcional) – Testes manuais específicos • Fase 4 - Geração Relatórios Combating the web vulnerability threat www.acunetix.com
ACUNETIX – WVS Resumo das principais funcionalidades - AcuSensor Technology - Port Scanner & Network Alerts - Blind SQL Injector Combating the web vulnerability threat www.acunetix.com
Tecnologia AcuSensor • Nova tecnologia que permite a identificação de novas vulnerabilidades em aplicações que vai além do tradicional escaneamento ´caixa-preta´ enquanto gera menos ´falso-positivos´. • ACUSENSOR indica exatamente onde está a vulnerabilidade no código e lhe mostra informações relevantes tais como – Stack-Trace (acompanhamento linha-a-linha do código), linha do código com problema e nome do arquivo. Combating the web vulnerability threat www.acunetix.com
Port Scanner & Network Alerts • Executa scan de portas no servidor Web – e testes de segurança nos serviços que rodam nessas portas – tais como : DNS open recursion tests, configuração incorreta em proxy-servers, open relay SMTP servers - e muito mais... • Escreva o seu próprio teste de segurança usando a tecnologia Microsoft Active Scripting e use o nosso script como referencia. Combating the web vulnerability threat www.acunetix.com
Blind SQL Injector • Ideal para testes de penetração , o Blind SQL injector é uma ferramenta de extração de dados automatizada para realização de testes manuais e melhor depuramento da vulnerabilidade SQL-Injection Combating the web vulnerability threat www.acunetix.com
Funcionalidades adicionais … • Funcionalidade de Pausa e Recomeço do Escaneamento • Opção para marcar alertas como falso-positivo • Suporte ao NTLM V2 • Scanner agora pode agregar a lista de erros incomuns • Possibilidade para localizar rapidamente uma vulnerabilidade pelo uso de filtros • Todas opções de escaneamento estão agora disponiveis em Scheduler Combating the web vulnerability threat www.acunetix.com
Alguns de nossos clientes no BRASIL Combating the web vulnerability threat www.acunetix.com
Muito obrigado pela sua atenção ! Referencias adicionais : Acunetix Blog http://www.acunetix.com/blog Faça um tour para conhecer o WVS-Acunetix http://www.acunetix.com/vulnerability-scanner/features.htm Lista de verificações feitas pelo WVS-Acunetix http://www.acunetix.com/support/vulnerability-checks.htm Entre em contato conosco Sunlit Advanced Technology www.sunlit.com.br 11-91362957 - Antonio Carlos Scola acscola@sunlit.com.br Combating the web vulnerability threat www.acunetix.com

Empfohlen

Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
Strong Security Brasil
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
Site Blindado S.A.
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
Carlos Serrao
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 

Empfohlen

Como ser um Hacker Ético Profissional
Como ser um Hacker Ético ProfissionalComo ser um Hacker Ético Profissional
Como ser um Hacker Ético Profissional
Strong Security Brasil
 
Suite de Soluções Site Blindado
Suite de Soluções Site BlindadoSuite de Soluções Site Blindado
Suite de Soluções Site Blindado
Site Blindado S.A.
 
Segurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASPSegurança em Aplicações Web conforme OWASP
Segurança em Aplicações Web conforme OWASP
Fabiano Pereira
 
OWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a WebOWASP e o desenvolvimento seguro de aplicações para a Web
OWASP e o desenvolvimento seguro de aplicações para a Web
Carlos Serrao
 
A OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a WebA OWASP e a Segurança Aplicacional para a Web
A OWASP e a Segurança Aplicacional para a Web
Carlos Serrao
 
Segurança em Aplicações Web
Segurança em Aplicações WebSegurança em Aplicações Web
Segurança em Aplicações Web
Cassio Ramos
 
Seguranca web Testday2012
Seguranca web Testday2012Seguranca web Testday2012
Seguranca web Testday2012
Marcio Cunha
 
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
OWASP Top 10 - Experiência e Cases com Auditorias Teste de Invasão em Aplicaç...
Clavis Segurança da Informação
 
THE WebSec
THE WebSecTHE WebSec
THE WebSec
Kelvin Campelo
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
Cristiano Caetano
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Clavis Segurança da Informação
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
Synergia - Engenharia de Software e Sistemas
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
E-Commerce Brasil
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
Marcio Cunha
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
Fernando Palma
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Clavis Segurança da Informação
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Symantec Brasil
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
Carlos Serrao
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
Cassio Ramos
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
Magno Logan
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
Clavis Segurança da Informação
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
Kleitor Franklint Correa Araujo
 
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
Carlos Serrao
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
Carlos Serrao
 

Weitere ähnliche Inhalte

Was ist angesagt?

Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
Andre Takegawa
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Clavis Segurança da Informação
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Clavis Segurança da Informação
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Clavis Segurança da Informação
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis Segurança da Informação
 

Was ist angesagt? (19)

THE WebSec
THE WebSecTHE WebSec
THE WebSec
 
Teste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testingTeste seguranca aplicacoes web security testing
Teste seguranca aplicacoes web security testing
 
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
Tutorial: Principais Vulnerabilidades em Aplicações Web – Rafael Soares Ferre...
 
Testes de segurança em aplicações web
Testes de segurança em aplicações webTestes de segurança em aplicações web
Testes de segurança em aplicações web
 
Os 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerceOs 10 erros mais comuns de segurança na operação de um ecommerce
Os 10 erros mais comuns de segurança na operação de um ecommerce
 
Seguranca web testday2012
Seguranca web testday2012Seguranca web testday2012
Seguranca web testday2012
 
Palestra cnasi 2013 s.video
Palestra cnasi 2013 s.videoPalestra cnasi 2013 s.video
Palestra cnasi 2013 s.video
 
Hacker Ético
Hacker ÉticoHacker Ético
Hacker Ético
 
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
Gerenciamento de Vulnerabilidades em Redes Corporativas - CNASI RJ
 
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e SistemasExperiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
Experiência e Cases com Auditorias Teste de Invasão em Redes e Sistemas
 
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
Impacto sobre o Negócio da Exploração de Vulnerabilidades de Injeção em Aplic...
 
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o WmapDescobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
Descobrindo (e Explorando) Vulnerabilidades em Aplicações Web com o Wmap
 
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidadeBe Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
Be Aware Webinar - Protegendo pdv de ameaças externas e garantindo conformidade
 
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
Clavis e Cyberark promovem almoço para sobre soluções para a área de Seguranç...
 
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
OWASP Mobile Top 10 - Principais Riscos no Desenvolvimento Seguro de Aplicaçõ...
 
Segurança de Redes
Segurança de RedesSegurança de Redes
Segurança de Redes
 
ENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na WebENSOL 2011 - OWASP e a Segurança na Web
ENSOL 2011 - OWASP e a Segurança na Web
 
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão" "Técnicas e Ferramentas para Auditorias Testes de Invasão"
"Técnicas e Ferramentas para Auditorias Testes de Invasão"
 
Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013Ameacas e Vulnerabilidades em Apps Web-2013
Ameacas e Vulnerabilidades em Apps Web-2013
 

Ähnlich wie Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade]

Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Wlad1m1r
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
gleydsonslim
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Clavis Segurança da Informação
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
OWASP Brasília
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portais
Felipe Perin
 

Ähnlich wie Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade] (20)

Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013Apresentação Acunetix - Scanner ambiente WEB - Fev2013
Apresentação Acunetix - Scanner ambiente WEB - Fev2013
 
OWASP - Ferramentas
OWASP - FerramentasOWASP - Ferramentas
OWASP - Ferramentas
 
Ferranentas OWASP
Ferranentas OWASPFerranentas OWASP
Ferranentas OWASP
 
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
Analysis of vulnerabilities in web applications - LinuxCon Brazil 2010
 
2011 01-18.campus party 2011
2011 01-18.campus party 20112011 01-18.campus party 2011
2011 01-18.campus party 2011
 
Workshop - Testes de Segurança
Workshop - Testes de SegurançaWorkshop - Testes de Segurança
Workshop - Testes de Segurança
 
Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao Ferramentas livres para teste de invasao
Ferramentas livres para teste de invasao
 
Engenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de softwareEngenharia de Software II - Teste de segurança de software
Engenharia de Software II - Teste de segurança de software
 
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
AppSec Brazil 2010 - Utilizando a ESAPI para prover Segurança em Aplicações W...
 
10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce10 problemas seguranca_ecommerce
10 problemas seguranca_ecommerce
 
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em AplicaçõesPalestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
Palestra em parceria com o @cefet_rj – Auditoria Teste de Invasão em Aplicações
 
OWASP Top Ten 2004
OWASP Top Ten 2004OWASP Top Ten 2004
OWASP Top Ten 2004
 
E scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escanE scan tech i - bem vindos ao escan
E scan tech i - bem vindos ao escan
 
Projeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TIProjeto de Avaliação de Segurança de TI
Projeto de Avaliação de Segurança de TI
 
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
Apresentação Técnica - Segurança SCADA realizada no ISA SHOW 2011
 
Análise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web NacionalAnálise de Vulnerabilidades em Aplicações na Web Nacional
Análise de Vulnerabilidades em Aplicações na Web Nacional
 
Apresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio BrazApresentação Ismael Rocha e Fabricio Braz
Apresentação Ismael Rocha e Fabricio Braz
 
Estudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações webEstudo visando a mitigação do ataque sql injection em aplicações web
Estudo visando a mitigação do ataque sql injection em aplicações web
 
I-SCode
I-SCodeI-SCode
I-SCode
 
Administração de portais
Administração de portaisAdministração de portais
Administração de portais
 

Apresentação acunetix scanner ambiente web - abril2012 [modo de compatibilidade]

  • 1. ACUNETIX Scanner para Identificar Vulnerabilidades em Aplicações WEB Março 2012 SUNLIT TECHNOLOGIES Representante Acunetix no Brasil Combating the web vulnerability threat www.acunetix.com
  • 2. GARTNER GROUP aponta a solução ACUNETIX como um dos líderes em ANÁLISE DE VULNERABILIDADE DE APLICAÇÕES Confira a posição de destaque ocupada pela solução ACUNETIX no QUADRANTE MÁGICO do GARTNER GROUP (dezembro de 2011) em referencia ao tema DAST (Dynamic Application Security Testing) ou Análise de Vulnerabilidades em Aplicações. Combating the web vulnerability threat www.acunetix.com
  • 3. Por que sua empresa pode se tornar alvo de hackers ? Porque voce disponibiliza seu website 7x24 para atender seus clientes e…os hackers sabem disso ! Além disso….os hackers gostam bastante de se divertir…e aproveitam o tempo livre para : . – Obter acesso a dados sensitivos (de sua empresa, de seus fornecedores e de …seus clientes…..) – Descaracterizar websites – Lhe ´presentear´ com mensagens PHISHING para obter seus dados bancários – ´Entupir´ seus links de acesso pela distribuição de conteúdo ilegal – Manipular de forma maliciosa seus aplicativos WEB Combating the web vulnerability threat www.acunetix.com
  • 4. O que sua empresa perde sendo ´hackeada´ ? • Confidencialidade de informações relativas ao negócio • Perda de confiança e reputação perante seus clientes e fornecedores • Imagem da sua empresa é ´arranhada´ • Suas operações podem ficar ´fora-do-ar´ • Perda de faturamento e receitas • Implicações legais e multas Combating the web vulnerability threat www.acunetix.com
  • 5. Porque escolher um scanner ambiente WEB ? • Voce pode manter aberta a Port 80 • Um firewall de aplicação WEB não é suficiente para barrar intrusos • Firewalls, IDS and IPS não tem proteção suficiente • Acesso direto a servidores corporativos • Aplicações feitas in-house não são auditadas Combating the web vulnerability threat www.acunetix.com
  • 6. Como o Scanner-Acunetix funciona….. • Detecta SQL Injection e XSS – entre outras vulnerabilidades.. • Audita websites de forma manual e automatica • Estado da arte na tecnologia de rastreamento de vulnerabilidades – Utiliza Engine (CSA) Client Script Analyzer • Suporte a Web 2.0, JavaScript / Ajax, JQuery com engine CSA • Abordagem com métodos Heuristicos • Relatórios detalhados • Suporte a linha de comando Combating the web vulnerability threat www.acunetix.com
  • 7. Diferenciais técnicos da solução ACUNETIX • Detecção de erro 404 • Manipula formulários CAPTCHA • Suporta single-sign-on e mecanismos de tokens • Suporta múltiplos SCANS a partir de mesma máquina (versão 8 – fev 2012) • Permite a manipulação de parametros da URL (versão 8 – fev 2012) • Identifica uma nova classe de vulnerabilidade: HTTP PARAMETER POLLUTION (versão 8 – fev 2012) • Permite acesso direto ao código das aplicações WEB através da tecnologia ACUSENSOR Combating the web vulnerability threat www.acunetix.com
  • 8. O que é a funcionalidade ACUSENSOR ? • Vai além do escaneamento CAIXA-PRETA • Verifica a configuração da tecnologia WEB • Menor número de falso-positivos • Sem regras de regravação Url Combating the web vulnerability threat www.acunetix.com
  • 9. A tecnologia AcuSensor gera informações avançadas para ´debug´ de vulnerabilidades Mostra qual a query QL vulnerável ao SQL Injection E indica exatamente a linha de Código onde a vulnerabilidade está Localizada. …. Combating the web vulnerability threat www.acunetix.com
  • 10. Interface amigável Facilidade no acompanhamento de status das vulnerabilidades Combating the web vulnerability threat www.acunetix.com
  • 11. Testes de penetração avançados em ambiente WEB • Testes de penetração avançados incluem : – HTTP Editor – HTTP Sniffer – HTTP Fuzzer – Blind SQL injector – Authentication Tester Combating the web vulnerability threat www.acunetix.com
  • 12. Uma solução de segurança completa • Acunetix verifica : – Configuração do Web server – Configuração da tecnologia Web (.NET, PHP etc) – Port scanner & Network Alerts Combating the web vulnerability threat www.acunetix.com
  • 13. Geração de Relatórios • Relatórios de compliance e auditoria - OWASP-Top 10 - PCI-DSS entre outros • Relatórios para o desenvolvedor • Relatórios comparativos • Exporta relatórios para PDF , HTML, etc Combating the web vulnerability threat www.acunetix.com
  • 14. Apresentação Técnica • Como agem os hackers? • Configuração - Acunetix WVS • O que é um Scanner de ambiente Web ? – Application Settings • Acunetix WVS – Perfis para escaneamento – Scan Wizard – Resultados do Escaneamento – Relatórios do Escanemanto • Funcionalidades - Acunetix WVS – Target Finder – Site Crawler – Tecnologia AcuSensor – Port Scanner & Network Alerts – HTTP Editor – HTTP Fuzzer – HTTP Sniffer – Blind SQL Injector – Authentication Tester – Compare os resultados Combating the web vulnerability threat www.acunetix.com
  • 15. Como agem os hackers ? • Hackers usam um plano sistemático de ação : 1. Estudam a infraestrutura operacional (sistema operacional e tipos de servidores) . 2. Pesquisam o website/ aplicação WEB 3. Identificam a presença de vulnerabilidades 4. Planejam e executam o ataque • Acunetix WVS atua de forma contínua na identificação de vulnerabilidades na aplicação WEB e/ou na tecnologia WEB (PHP, Apache,etc) e/ou um determinado servidor WEB e/ou ainda qualquer serviço de rede (DNS, FTP, etc) que roda no servidor WEB. Combating the web vulnerability threat www.acunetix.com
  • 16. Como os hackers planejam seus ataques.... Combating the web vulnerability threat www.acunetix.com
  • 17. Técnicas de hacking mais ativas • Métodos estáticos conhecidos: • Métodos dinamicos desconhecidos : – Explorar vulnerabilidades em – SQL Injection aplicações Web – Cross-site Scripting – Directory & Link Traversal – Enurmeração de diretórios – File Inclusion – Exposição de código-fonte – Explorar vulnerabilidades em – Execução de código servidores Web – Common File Checks – Manipulação de parametros – Explorar vulnerabilidades em – Criação ou deleção de arquivos de tecnologia Web (ex : PHP) forma arbitrária – CRLF Injection – Explorar vulnerabilidades em serviços – Path Truncation de rede (ex: DNS, FTP, SMTP) – Engenharia reversa de Java Applet – Session Hijacking – Ataques de autenticação – Google Hacking Database A solução Acunetix WVS identifica todos os métodos acima descritos e muito mais.... Combating the web vulnerability threat www.acunetix.com
  • 18. O que é um Scanner de ambiente Web ? • Hacking são formas de ataques maliciosos contra aplicações-Web. Qualquer usuário visitando um website pode ser um hacker em potencial ... Por isso, uma abordagem de prevenção é a primeira linha de defesa. • Um Scanner de ambiente WEB é uma ferramenta automática de segurança que identifica vulnerabilidades em aplicações WEB ou tecnologias WEB ou servidores-WEB. Combating the web vulnerability threat www.acunetix.com
  • 19. A que se propõem a solução WVS-ACUNETIX ? • Acunetix WVS é um Scanner-WEB que possibilita efetuar checagens automáticas e manuais na identificação de vulnerabilidades . • Acunetix WVS usa métodos dinamicos para replicar ataques de hackers utilizando maneiras não-destrutivas. Acunetix WVS é uma ferramenta essencial para identificar vulnerabilidades em suas aplicações Web e servidores-Web. Combating the web vulnerability threat www.acunetix.com
  • 20. Acunetix WVS Acunetix WVS é um Scanner que utiliza metodologia heurística permitindo escaneamento & auditoria de forma automática e manual. Pela replicação de ataques hackers de forma não- não- destrutiva - Acunetix-WVS Acunetix- é uma ferramenta essencial para manter seu ambiente livres de hackers & pragas digitais. digitais. Combating the web vulnerability threat www.acunetix.com
  • 21. Como o Acunetix-WVS efetua a busca por vulnerabilidades • Fase 1 - Processo de ´rastejamento´ para descobrir vulnerabilidades • Fase 2 - Escaneamento Automático • Fase 3 - (opcional) – Testes manuais específicos • Fase 4 - Geração Relatórios Combating the web vulnerability threat www.acunetix.com
  • 22. ACUNETIX – WVS Resumo das principais funcionalidades - AcuSensor Technology - Port Scanner & Network Alerts - Blind SQL Injector Combating the web vulnerability threat www.acunetix.com
  • 23. Tecnologia AcuSensor • Nova tecnologia que permite a identificação de novas vulnerabilidades em aplicações que vai além do tradicional escaneamento ´caixa-preta´ enquanto gera menos ´falso-positivos´. • ACUSENSOR indica exatamente onde está a vulnerabilidade no código e lhe mostra informações relevantes tais como – Stack-Trace (acompanhamento linha-a-linha do código), linha do código com problema e nome do arquivo. Combating the web vulnerability threat www.acunetix.com
  • 24. Port Scanner & Network Alerts • Executa scan de portas no servidor Web – e testes de segurança nos serviços que rodam nessas portas – tais como : DNS open recursion tests, configuração incorreta em proxy-servers, open relay SMTP servers - e muito mais... • Escreva o seu próprio teste de segurança usando a tecnologia Microsoft Active Scripting e use o nosso script como referencia. Combating the web vulnerability threat www.acunetix.com
  • 25. Blind SQL Injector • Ideal para testes de penetração , o Blind SQL injector é uma ferramenta de extração de dados automatizada para realização de testes manuais e melhor depuramento da vulnerabilidade SQL-Injection Combating the web vulnerability threat www.acunetix.com
  • 26. Funcionalidades adicionais … • Funcionalidade de Pausa e Recomeço do Escaneamento • Opção para marcar alertas como falso-positivo • Suporte ao NTLM V2 • Scanner agora pode agregar a lista de erros incomuns • Possibilidade para localizar rapidamente uma vulnerabilidade pelo uso de filtros • Todas opções de escaneamento estão agora disponiveis em Scheduler Combating the web vulnerability threat www.acunetix.com
  • 27. Alguns de nossos clientes no BRASIL Combating the web vulnerability threat www.acunetix.com
  • 28. Muito obrigado pela sua atenção ! Referencias adicionais : Acunetix Blog http://www.acunetix.com/blog Faça um tour para conhecer o WVS-Acunetix http://www.acunetix.com/vulnerability-scanner/features.htm Lista de verificações feitas pelo WVS-Acunetix http://www.acunetix.com/support/vulnerability-checks.htm Entre em contato conosco Sunlit Advanced Technology www.sunlit.com.br 11-91362957 - Antonio Carlos Scola acscola@sunlit.com.br Combating the web vulnerability threat www.acunetix.com